Berechtigungsmanagement einfach gut

Erweiterte BAIT-Anforderungen an den (Neu-)Vergabeprozess • Umgang mit privilegierten Nutzern • Genehmigungsverfahren und Dokumentation • Praxis- & Prüfungssicherheit

Inhaltsverzeichnis:

Schwerpunkte des Beratungsangebots

Zum Thema

Die neuen BAIT stellen die zentrale Bedeutung des Benutzerberechtigungsmanagements noch einmal klar heraus. Der Zugriff auf sensible Bankdaten und -prozesse soll nur den Personen gewährt werden, die diesen auch wirklich in Anspruch nehmen müssen ("Need-to-know"-Prinzip). Wie ist der Rechtevergabe-Prozess zu definieren bzw. zu dokumentieren? Wie können die Fachbereiche in den Prozess integriert werden und vor allem wie verstehen sie den Hintergrund „ihrer“ Berechtigungen und Systeme? Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein. Durch die neuen MaRisk und neuen BAIT wird explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen gefordert. Die aktuellen regulatorischen Vorgaben sowie häufig identifizierte Schwachstellen bei (Aufsichts-)Prüfungen stehen daher im Mittelpunkt der Beratung.

Vorgehen

Sie erhalten auf der Basis einer IST-Analyse Hinweise zu:

  • Anforderungen an das Rollenmodell und die Genehmigungs- und Kontrollprozesse - Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer (system- und funktionsbezogene Rollen)
  • Überwachung privilegierter User, insbesondere Systemadministratoren- Anforderungen an Logging, Protokollierung und Protokollauswertung
  • Soll/Soll und Soll/Ist-Abgleiche – identifizierte Schwachstellen aufgrund fehlerhafter Schutzbedarfsanalysen
  • Prüfung der Notwendigkeit und Zulässigkeit beantragter Rechte - Organisatorische und technische Sicherstellung der minimalen Rechtevergabe
  • Wirksamkeit der Rezertifizierung und vorgegebener Funktionstrennungen inkl. des Vergabeprozesses sowie anlassbezogener Aktualisierungen des Berechtigungsmanagementkonzeptes
  • Sicherstellung der Vergabe von Berechtigungen an Benutzer nach dem Prinzip der minimalen Rechtevergabe
  • Analyse der Ausgangslage - Vermeidung der Anträge auf "Zuruf" – Schaffung einer Unternehmensweiten Sicht der Funktionen
  • Überprüfung eingeräumter Berechtigungen

Ergebnisse

Durch den Umsetzungs-Check können Sie schnell überprüfen, ob und an welcher Stelle die Prozesse im Bereich der IT-Berechtigungen angepasst werden müssen. Sie können den Umsetzungsaufwand schnell einschätzen und gezielt in die Umsetzung der besprochenen Maßnahmen einsteigen.

Beratungsangebot anfordern

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.